EU AI Act란 무엇인가

2024년 8월 1일, 유럽연합(EU)의 **AI Act(인공지능법)**이 공식 발효됐다. 세계 최초로 AI 기술 전반을 포괄하는 법률로, 2021년 초안 발표 이후 3년여의 입법 과정을 거쳐 완성됐다. 이 법은 GDPR이 개인정보 보호의 글로벌 기준이 된 것처럼, AI 규제의 국제 표준이 될 것으로 전망된다.

EU AI Act는 단순한 유럽 지역 규제가 아니다. EU 시장에 서비스를 제공하는 전 세계 모든 AI 기업에게 적용되며, 'Brussels Effect(브뤼셀 효과)'를 통해 글로벌 AI 산업 전반의 기준을 재편할 것이다.

법의 핵심 철학은 **위험 기반 접근법(Risk-Based Approach)**이다. AI 시스템의 위험도에 따라 규제 강도를 차등 적용해, 혁신을 저해하지 않으면서도 사회적 해악을 방지하는 균형을 추구한다.

법 적용 범위는 매우 광범위하다. EU 내에서 AI 시스템을 배포하거나 사용하는 자는 물론, EU 외부에 위치하더라도 EU 내 사용자에게 AI 서비스를 제공하는 경우 모두 규율 대상이 된다. 또한 GPAI(General-Purpose AI, 범용 AI) 모델을 개발·배포하는 사업자에게도 별도의 의무가 부과된다. ChatGPT, Claude, Gemini 같은 대형 언어 모델이 대표적인 GPAI 모델에 해당한다.

TL;DR

EU AI Act는 2024년 8월 발효된 세계 최초의 포괄적 AI 규제법으로, AI 시스템을 4단계 위험 등급(금지·고위험·제한적 위험·최소 위험)으로 분류해 의무를 차등 부과한다. 위반 시 전세계 연매출의 최대 7%에 달하는 과징금이 부과되며, 한국 기업도 EU 사용자에게 서비스하는 경우 예외 없이 적용 대상이다. 2026년 8월부터 고위험 AI 전면 적용이 시작되므로, 지금 바로 사내 AI 인벤토리 점검과 컴플라이언스 준비에 착수해야 한다.


위험 등급 분류 체계

EU AI Act는 AI 시스템을 4단계 위험 등급으로 분류한다. 각 등급은 사회에 미치는 잠재적 해악의 크기를 기준으로 결정된다.

위험 등급 영문 해당 AI 예시 규제 수준
금지 AI (허용 불가 위험) Unacceptable Risk 실시간 생체인식, 사회신용점수, 취약계층 조작 전면 금지
고위험 AI High Risk 의료 진단, 채용 심사, 신용평가, 자율주행 엄격한 의무사항
제한적 위험 AI Limited Risk 챗봇, 딥페이크, AI 생성 콘텐츠 투명성 고지 의무
최소 위험 AI Minimal Risk 스팸 필터, AI 게임, 단순 추천 알고리즘 자율 규제 (권고)

이 4단계 구조는 AI 시스템을 일률적으로 규제하지 않고, 실제 위험도에 비례하여 의무를 부과하는 '비례 원칙(Principle of Proportionality)'에 기반한다. 규제 부담이 낮은 하위 등급 AI는 사실상 자유롭게 개발·운영이 가능하며, 이를 통해 스타트업 등 소규모 사업자의 혁신을 보호하는 장치도 마련돼 있다.

4단계
위험 등급 분류 체계
7%
금지 AI 위반 시 최대 과징금 (전세계 연매출 대비)
3,500만€
금지 AI 위반 최소 과징금 상한
2026년 8월
고위험 AI 전면 의무 적용 시점

주요 조항별 상세 분석

금지 AI (허용 불가 위험 — Unacceptable Risk)

다음 AI 시스템은 EU 내에서 개발·배포·사용이 전면 금지된다.

  • 실시간 원격 생체인식 시스템: 공공장소에서 카메라로 얼굴·걸음걸이·목소리를 실시간 식별하는 AI. 단, 법 집행 목적의 예외적 사용은 엄격한 요건 하에 허용된다.
    • 허용 예외: 실종 아동 수색, 특정 테러 위협 방지, 심각한 범죄(3년 이상 징역) 용의자 식별
    • 예외 사용 시에도 사법 당국의 사전 승인과 독립 기관의 감독이 필수
  • 사회신용점수 시스템: 개인의 사회적 행동·특성을 AI로 평가해 서비스 접근을 차별하는 시스템. 중국식 사회신용 모델이 대표적 금지 대상이다.
  • 취약계층 조작: 아동·장애인 등 취약계층의 인지적 약점을 이용해 행동을 유도하는 AI
  • 잠재의식적 조작: 당사자가 인지하지 못하는 방식으로 결정을 유도하는 AI
  • 감정 추론 AI: 직장·교육 기관에서 직원·학생의 감정 상태를 추론하는 AI (단, 의료·안전 목적의 예외 존재)
⚠️
2025년 2월부터 금지 AI 즉시 적용
실시간 원격 생체인식, 사회신용점수 시스템, 잠재의식적 조작 AI는 2025년 2월 2일부터 EU 내 개발·배포·사용이 전면 금지됐다. 이미 운영 중인 서비스가 있다면 즉시 법적 검토가 필요하다.

고위험 AI (High Risk)

고위험 AI는 시장 출시 전 적합성 평가(Conformity Assessment)를 통과해야 하며, 다음 의무를 준수해야 한다.

  • 위험 관리 시스템 구축: 전체 수명 주기에 걸친 위험 식별·평가·완화 체계 수립
  • 데이터 거버넌스: 학습 데이터의 편향 검토, 품질 관리, 출처 문서화 및 지속적 모니터링
  • 기술 문서화(Technical Documentation): 시스템 설계·목적·성능·한계에 관한 상세 문서 유지
  • 로그 보존: 시스템 작동 로그를 최소 6개월(자율주행 등은 3년) 이상 보존
  • 투명성 및 사용자 고지: 사용자에게 AI 시스템임을 명확히 알리고 작동 방식 설명
  • 인간 감독(Human Oversight): AI 결정을 인간이 검토·개입·취소할 수 있는 메커니즘 반드시 구현
  • 정확성·견고성·사이버보안: 성능 기준 충족 및 적대적 공격에 대한 복원력 유지

고위험 AI로 분류되는 주요 영역은 다음과 같다.

분야 고위험 AI 예시
의료 의료 진단 AI, 임상 의사결정 지원 시스템, 원격 환자 모니터링
교육 입학 심사 AI, 학업 평가 자동화, 수험생 감독 AI
고용 이력서 필터링, 채용 심사 AI, 직원 성과 평가
금융 신용 점수 산정, 대출 심사, 보험 위험 평가
법 집행 범죄 예측, 증거 분석, 거짓말 탐지
이민·국경 비자 심사, 망명 신청 평가, 위험 프로파일링
사법 판결 지원 AI, 분쟁 해결 자동화
인프라 전력망 관리, 교통 통제, 수도 공급
⚠️
고위험 AI 의무 이행 — 2026년 8월이 데드라인
채용 AI, 신용평가 AI, 의료 진단 AI 등 고위험 시스템을 운영하는 기업은 2026년 8월 2일까지 위험 관리 체계, 기술 문서화, 적합성 평가, 인간 감독 메커니즘을 모두 갖춰야 한다. 적합성 평가에만 수개월이 소요되므로 지금 당장 준비를 시작해야 한다.

제한적 위험 AI (Limited Risk)

제한적 위험 AI는 주로 **투명성 의무(Transparency Obligations)**를 이행해야 한다.

  • 챗봇·가상 어시스턴트: 사용자에게 AI와 대화 중임을 명시해야 함
  • 딥페이크·합성 미디어: AI로 생성된 이미지·영상·음성임을 표시해야 함
  • AI 생성 텍스트: 특히 공개 배포 목적의 텍스트는 AI 생성 여부를 표시해야 함
  • 감정 인식 AI: 사용자에게 감정 인식 기능이 작동 중임을 고지해야 함

최소 위험 AI (Minimal Risk)

스팸 필터, AI 기반 게임, 단순 추천 알고리즘 등은 최소 위험 등급으로 분류되며, 법적 의무 없이 자율 규제 코드 오브 프랙티스(Code of Practice)를 준수하도록 권고된다. 시장의 압도적 다수 AI 시스템이 여기에 해당하며, 이들에게는 사실상 규제 부담이 발생하지 않는다.


기업 준수 의무 체크리스트

EU AI Act 준수를 위해 기업들이 단계적으로 이행해야 할 핵심 사항을 정리했다.

1단계: AI 인벤토리 및 등급 분류

  • 사내에서 사용·개발·배포 중인 모든 AI 시스템 전수 조사
  • 각 AI 시스템의 위험 등급 자체 평가 및 문서화
  • EU 시장 노출 여부 확인 (EU 사용자 수, EU 파트너 여부)
  • GPAI 모델 해당 여부 확인 (GPT 기반 서비스, LLM 통합 제품 등)

2단계: 거버넌스 체계 구축

  • AI 컴플라이언스 전담 책임자(AI Compliance Officer) 또는 TF 지정
  • 위험 관리 정책 및 절차 수립
  • 내부 AI 감사 프로세스 설계
  • EU 내 공인 대리인(Authorized Representative) 지정 (EU 내 사업장 없는 경우 필수)

3단계: 기술 문서화 및 로그 관리

  • 고위험 AI 시스템의 기술 문서(Technical Documentation) 작성
  • 학습 데이터 출처·품질·편향 검토 보고서 작성
  • 시스템 작동 로그 보존 체계 구축 (최소 6개월)
  • 적합성 평가(Conformity Assessment) 절차 진행

4단계: 투명성 및 사용자 고지

  • 챗봇·AI 인터페이스에 AI 여부 고지 문구 추가
  • AI 생성 콘텐츠에 라벨링 또는 워터마크 적용
  • 사용자 설명서 및 이용 약관에 AI 활용 사실 명시

5단계: 인간 감독 메커니즘 구현

  • 고위험 AI 결정에 대한 인간 검토 워크플로우 구축
  • AI 판단 취소(Override) 기능 구현
  • AI 오류·이상 징후 감지 및 에스컬레이션 절차 마련

6단계: 지속적 모니터링 및 갱신

  • AI 시스템 출시 후 성능 및 편향 지속 모니터링
  • 규정 위반 사고 발생 시 감독 기관 보고 절차 수립
  • EU AI Act 시행 일정에 따른 내부 컴플라이언스 로드맵 수립

한국 기업에 미치는 영향

역외 적용 원칙

EU AI Act는 역외 적용(Extraterritorial Application) 원칙을 따른다. GDPR과 마찬가지로, 다음 중 하나에 해당하면 한국 기업도 적용 대상이다.

  • EU 시장에 AI 제품·서비스를 출시하는 경우
  • EU 내 사용자를 대상으로 AI 서비스를 운영하는 경우
  • EU 기업의 AI 시스템에 부품·소프트웨어·데이터를 공급하는 경우
⚠️
한국 기업도 예외 없음 — EU 사용자 한 명이라도 있다면 적용 대상
EU 내에 법인이 없더라도 EU 국적 사용자에게 AI 서비스를 제공하면 EU AI Act 적용을 받는다. 글로벌 SaaS, AI 앱, B2B 솔루션을 운영하는 한국 기업은 EU 노출도를 즉시 점검해야 하며, EU 공인 대리인 미지정 시 EU 시장 내 서비스 판매 자체가 차단될 수 있다.

산업별 주요 영향

AI 기반 B2B SaaS 기업 HR 테크(채용 AI), 신용평가 AI, 의료 AI를 EU 기업에 공급하는 국내 스타트업은 고위험 AI 의무를 즉시 검토해야 한다. 특히 채용 자동화 솔루션을 EU 고객사에 납품하는 경우, 적합성 평가와 기술 문서화를 서비스 계약 이전에 완료해야 한다.

반도체·AI 칩 기업 삼성전자, SK하이닉스 등 AI 반도체를 EU 시장에 공급하는 경우, 제품이 고위험 AI 시스템에 활용된다면 공급망 투명성 의무가 발생한다. 직접 규제 대상은 아니더라도, EU 고객사의 컴플라이언스 요구에 응해야 하는 간접 압박이 크다.

게임·엔터테인먼트 AI 기반 콘텐츠 생성, 추천 알고리즘, 딥페이크 기술을 EU 사용자에게 제공할 경우 제한적 위험 등급의 투명성 고지 의무가 적용된다. 딥페이크 기술을 활용한 엔터테인먼트 서비스는 AI 생성 표시 의무를 즉시 이행해야 한다.

금융·핀테크 AI 기반 신용 심사, 이상거래 탐지, 투자 자문 서비스를 EU 사용자에게 제공하는 핀테크 기업은 고위험 AI 규정을 적용받는다. EU 금융 규제(MiFID II, PSD2)와의 이중 준수 부담이 생기므로 법무 검토가 필수다.

헬스케어·바이오테크 의료 진단 AI, 환자 모니터링 솔루션, 신약 개발 AI를 EU에서 운영하는 기업은 EU 의료기기 규정(MDR)과 EU AI Act를 동시에 충족해야 하는 복합 컴플라이언스 과제에 직면한다.

한국 기업의 현실적 대응 전략

  • AI 인벤토리 작성 우선: 사내 AI 시스템 전수 조사 및 EU 노출도 평가가 출발점이다.
  • 법무·기술 협업 체계 구축: 컴플라이언스 전담 조직 또는 외부 EU 법률 전문가 파트너십을 조기에 확보한다.
  • 문서화 선제 대응: 기술 문서, 학습 데이터 출처, 로그 보존 체계를 규제 시행 전에 미리 구축한다.
  • EU 대리인 지정: EU 내 사업장이 없는 기업은 EU 공인 대리인(Authorized Representative) 지정이 법적 의무다. 미지정 시 EU 시장 내 제품·서비스 판매가 차단될 수 있다.
  • 인증 취득 준비: CE 마킹 등 EU 적합성 인증 취득 프로세스를 고위험 AI 시스템에 대해 선제적으로 준비한다.
  • 경쟁우위로 전환: 컴플라이언스를 비용으로만 보지 않고, '안전하고 신뢰할 수 있는 AI' 브랜드 가치로 전환하는 전략을 고려한다.

위반 시 제재 및 벌칙

EU AI Act 위반 시 부과되는 과징금은 위반 유형과 기업 규모에 따라 차등 적용된다.

위반 유형 과징금 상한
금지 AI(허용 불가 위험) 개발·사용 전세계 연매출의 7% 또는 3,500만 유로 중 높은 금액
고위험 AI 의무사항 위반 전세계 연매출의 3% 또는 1,500만 유로 중 높은 금액
감독 기관에 허위 정보 제공 전세계 연매출의 1.5% 또는 750만 유로 중 높은 금액
중소기업·스타트업 위 금액의 절반 이하로 비례 적용

GDPR 최대 과징금(매출의 4%)을 상회하는 수준으로, EU의 AI 규제 의지를 단호하게 보여준다. Meta, Google, Microsoft 같은 빅테크는 수천억 원 규모의 과징금 위험에 노출된다.

금전적 제재 외 추가 조치

과징금 외에도 다음과 같은 비금전적 제재가 가능하다.

  • EU 시장 접근 차단: 위반 사업자의 AI 제품·서비스에 대한 EU 내 판매·배포 금지
  • 리콜 명령: 이미 시장에 출시된 비준수 AI 시스템에 대한 강제 회수
  • 공개 통보: 위반 사실의 공개 공지로 인한 브랜드 신뢰도 타격
  • 형사 처벌: 일부 회원국은 자국법으로 개인에 대한 형사 제재 추가 가능

실제 집행 전망

EU 집행 체계는 각 회원국의 국가 감독 기관(National Competent Authority)이 주도하며, EU 차원에서는 유럽 AI 사무소(European AI Office)가 특히 GPAI 모델을 감독한다. 2025년 이후 첫 제재 사례들이 나오기 시작하면 글로벌 AI 기업들의 컴플라이언스 대응에 상당한 긴장감이 조성될 것으로 예상된다.


시행 타임라인

EU AI Act는 일시에 전면 적용되는 것이 아니라 위험 등급별로 단계적으로 시행된다.

시기 적용 내용 주요 대상
2024년 8월 1일 법 발효 (전체 규정 시행 시작) 모든 사업자
2025년 2월 2일 금지 AI(허용 불가 위험) 조항 적용 실시간 생체인식·사회신용 시스템 운영자
2025년 8월 2일 GPAI(범용 AI) 모델 규정 적용 ChatGPT, Claude, Gemini 등 LLM 제공사
2026년 8월 2일 고위험 AI 시스템 전면 의무 적용 채용·의료·신용평가 AI 기업 등
2027년 8월 2일 특정 고위험 AI(의료기기, 자동차 안전) 최종 적용 의료기기·자동차 부문 AI

핵심 일정: 2025년 8월부터 ChatGPT, Claude, Gemini 등 LLM 제공사는 GPAI 규정에 따라 투명성 보고서 제출, 저작권 준수 정책 공개, 시스템 카드(System Card) 발행 등의 의무를 이행해야 한다. 한국 기업이 이러한 LLM을 API로 통합하여 EU 사용자에게 서비스할 경우에도 관련 의무를 사전 확인해야 한다.


결론

EU AI Act는 단순히 유럽 내 규제로 끝나지 않을 것이다. GDPR이 전 세계 개인정보 보호 법제에 영향을 미쳤듯이, EU AI Act는 영국·미국·한국 등 주요국의 AI 규제 입법에 직접적인 참조 모델이 될 가능성이 높다. 실제로 미국에서는 연방 차원의 AI 규제 논의가 진행 중이며, 한국에서도 AI 기본법 제정 논의가 EU AI Act의 틀을 상당 부분 참고하고 있다.

한국 기업 입장에서 EU AI Act는 단기적으로는 컴플라이언스 비용과 부담으로 다가올 수 있다. 그러나 장기적으로는 투명하고 안전한 AI 개발 역량을 조기에 갖춘 기업이 글로벌 시장에서 신뢰를 선점하는 기회가 된다. '규제를 피하는 AI'가 아니라 '규제를 뛰어넘는 신뢰받는 AI'를 만드는 것이 진정한 경쟁력이 될 것이다.

지금 당장 할 수 있는 첫 번째 행동은 사내 AI 시스템 인벤토리를 작성하고, EU 노출도를 점검하는 것이다. 컴플라이언스는 완벽한 준비가 되었을 때 시작하는 것이 아니라, 오늘 한 걸음씩 시작하는 것이다.

📌 핵심 정리
  • EU AI Act는 2024년 8월 발효된 세계 최초의 포괄적 AI 규제법으로, GDPR처럼 역외 적용 원칙을 따른다 — EU 사용자에게 서비스하는 한국 기업도 예외 없이 적용 대상이다.
  • AI 시스템은 4단계(금지·고위험·제한적 위험·최소 위험)로 분류되며, 등급에 따라 전면 금지부터 자율 규제까지 차등 의무가 부과된다.
  • 위반 시 전세계 연매출의 최대 7%(금지 AI) 또는 3%(고위험 AI)에 달하는 과징금과 함께 EU 시장 접근 차단, 제품 리콜 등 강력한 비금전적 제재도 가능하다.
  • 고위험 AI 전면 적용 데드라인은 2026년 8월 2일 — 지금 바로 사내 AI 인벤토리 점검, 위험 등급 분류, EU 공인 대리인 지정에 착수해야 한다.

참고 자료

  1. European Parliament. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council — Artificial Intelligence Act. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
  2. European Commission. (2024). AI Act: first regulation on artificial intelligence. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12527-Artificial-intelligence-ethical-and-legal-requirements_en
  3. KISA 한국인터넷진흥원. (2024). EU AI Act 주요 내용 및 국내 기업 대응 방향. https://www.kisa.or.kr
  4. OECD. (2024). OECD AI Policy Observatory — EU AI Act Analysis. https://oecd.ai/en/dashboards/policy-initiatives/2023%3A18959
  5. Future of Life Institute. (2024). The EU AI Act Explorer. https://artificialintelligenceact.eu
관련 자료 · 공식 출처
· European Commission — AI 규제 프레임워크(공식)
· EUR-Lex — AI Act 규정 원문(Reg. 2024/1689)
· The EU AI Act Explorer